| HOME |
Ads by Google
新しい記事を書く事で広告が消せます。
revo.exeが蔓延している
[2008.11.12 追記]
その後色々調べた結果
[追記ここまで]
USBフラッシュメモリなどUSBのリムーバブルディスク経由でデータをやり取りしていると、kavaとかrevoなどのトロイの木馬だかワームだかウィルス高に感染する可能性が高いです。ここでは定義が厄介なのでウィルスということにしておきます。まぁ、悪さをするプログラムがウィルスと一般的に呼ばれているから問題ないでしょう。
このウィルスは、まず感染したコンピュータに接続されているフラッシュメモリなどに、ウィルス本体と、それがパソコンに接続されたときに自動的に実行されるようにする設定ファイルを保存します。
そして、別のパソコンに接続された瞬間にウィルスが自動実行されて感染する、というものです。
昔から、パソコン同士のデータのやり取りにフロッピーにしろフラッシュメモリにしろなんにしろ、ディスクでやり取りするのが基本というところをうまくついた巧妙な仕組みだと思う。悪いことをしようと思えば、比較的単純な仕掛けでできるものだな、と、平和な世界の敵でありながら感心してしまう。
で、ここからはうちの経験。
2008年10月25日ごろ、自分のパソコンを持っていない部員A氏が、学内の図書館で貸し出されているパソコンを使用。ただしこの貸し出しパソコン、かなりセキュリティが甘いのでここで感染したと思われる。
部員A氏が部室内のパソコンに貸し出しパソコンで保存してきたデータを操作しようと、フラッシュメモリを接続する。
部員A氏が異変に気づく。「最近、ドライブを開こうとしても、プログラム選択のダイアログが出る」という。あっさり感染。確かに「次のファイルを開くプログラムを選択してください H;\」という、未知の拡張子のファイルを開こうとしたときに出るあのダイアログが出た。ウィルスとは思わず、何度も抜き差しして一応このダイアログは出なくなったので一安心してしまう。
・・・
爆発的増殖
・・・
うちのパソコンでも、部員Uの自宅のデスクトップでも同様、ドライブを開こうとするとプログラム選択ダイアログが出る。そして、うちのパソコンのノートン先生が突然f.exeというウィルスを検出したというダイアログを出した。
うちはオートプロテクトによって遮断されたものと思い、安心してしまう。
が、このころから、感染パソコンでドライブを開こうとするとなぜか新しいウィンドウで表示されるようになる。今思えば明らかにウィルスのせいだが。
そして、一応ウィルスの存在を把握したので自分のデスクトップパソコンとノートパソコン、そして部室のパソコンにノートン先生のフルスキャンをかけ、いくつか検出され削除された。削除されたからさらに安心してしまう。
が、
・・・
ここからが、世の中からいらない子扱いされているVistaが活躍した・・・。
部員Uのノートパソコン、部員M氏のノートパソコンをはじめ、部員の中に5名ほどVistaのノートパソコンユーザーがいた。
部員M氏が他サークル(S部)の文集原稿のやり取りの際に、S部の一部の部員のフラッシュメモリ内にf.exeを発見した。なぜ、Mはこれを発見できたのか…?Windows Vistaに自動実行(autorun)は通用しないため、感染しなかったようだ。さらに、感染したとしてもOSのビットレートの違いのためなのか、普通の製品版アプリケーションすら動かないことがあるくらい、実行可能形式でも動かない場合があるようで、U氏の話では「Vistaが立ち上がった後ウィルスは起動しているが、すぐにVistaにプロセスを停止させられてしまっている」とのこと。
因みに、「毎回プロセス停止のダイアログが出るから感染してからうざかった」らしい。
で、M氏は面白がってフォーマットしたフラッシュメモリをあっちこっちに挿して、どんなファイルが入り込むかを実験した。
部室のパソコンからは「f.exe」が入り込んだ。
うちのパソコンからは「hbs.exe」が入り込んだ。
そしてM氏がそれらを削除した上で、自動実行の設定ファイルautorun.infを空のファイルに振り替え、読み取り専用にしてどうなるかを実験した。
結果、あっさり上書きされ、ウィルスの自動実行に戻ってしまった。一筋縄ではいかないようだ。
因みに、自分のパソコンでf.exeを見つけてやろうとしたが、エクスプローラの挙動がおかしいことに気づく。
[フォルダオプション]>[表示]の詳細設定
「隠しファイルと隠しフォルダを表示しない」にチェックが入っている。
おかしい。うちがこのノートパソコンを入手した直後に「すべてのファイルとフォルダを表示する」にチェックをして、設定を変えたはずだ。拡張子表示なんかと一緒に変更したはずだ。
とにかく「すべてのファイルとフォルダを表示する」にチェックを入れなおし、さらに、「保護されたオペレーティングシステムファイルを表示しない」にチェックを入れる。
適用してOK
・・・!?
隠しファイルが表示されない。
設定をもう一度確認する。
設定が元に戻されている!!!
ならばもう一度、というのが常人の思考。しかし何度やっても無理。すぐに戻ってしまう。つまり事実上、まったくこれらの設定が変えられない状況。
自宅に帰って、「hbs トロイ」というようなワードで検索した。そして、やっと種類が特定できた。駆除方法も見つかった。早速そのとおりにやってみるが、削除するファイルのファイル名が異なっていた。おそらく亜種だろう。
レジストリをいじる。なるほど、ここをこういう風に書き換えると隠しファイルが表示できなくなるのか、とまたも半ば感心しつつ値を元に戻していく。
操作をミスって変なところを消してしまった!
まずい!!
が、とりあえず作業を続行し、一通りのレジストリ変更を終えてエクスプローラを起動。
隠しファイルが表示できるようになった。
「F.EXE」とか「HBS.EXE」とか、その手の名前が付いたものが大量にあるが、駆除方法で削除するよう指示されているファイルは、autorun.infとその他いくつかしか見つからない。.dllとか.comの拡張子の該当ファイルはない。とりあえず怪しいファイルを片っ端から消すか、と思いきや、消すべきはファイル名に「F.EXE」か「HBS.EXE」を含んだあからさまな物だけのようだ。
削除を終え、再起動し、隠しファイル設定が戻されていなければ成功とのこと、早速試すが、保護ファイル表示はできるがなぜか隠しファイルの表示の設定ができない。どうやらミスって消してしまったレジストリのキーと値が、ここの該当だったようだ。急いで手動でキーと値を新しく作ってごまかす。
本当はやばいだろうが、普段使う上ではたぶん大丈夫だろうと思い込んで・・・。
結果、駆除は成功、隠しファイルも表示できるようになった。
だが、どうしてもフラッシュメモリのf.exeを削除できない。プロテクトがかけられているようだ。hbs.exeは難なく削除できたのだが。
身の回りのリムーバブルディスクはVistaユーザに浄化してもらうしかなさそうだ・・・。
さて、こんな時間に書いているということは徹夜で駆除をしていたということだが、これから仮眠を取ったら部室のパソコンと、ノートMACユーザで仮想XPが冒された部員I氏の仮想XPを浄化しに、部室に行ってくるか。
ちなみに、[Shift]キーを押しながら接続すればAutoRunは実行されないが、Microsoftが配布している「TweakUI」というソフトを使えばAutoRunを無効にすることができるらしいと聞いて、さらに日本語化のツールも出回っているので、日本語化してインストール、CDとDVD以外のリムーバブルディスク系のAutoRunを無効という設定にした。
まったく、このウィルスは困ったものだ。
その後色々調べた結果
[追記ここまで]
USBフラッシュメモリなどUSBのリムーバブルディスク経由でデータをやり取りしていると、kavaとかrevoなどのトロイの木馬だかワームだかウィルス高に感染する可能性が高いです。ここでは定義が厄介なのでウィルスということにしておきます。まぁ、悪さをするプログラムがウィルスと一般的に呼ばれているから問題ないでしょう。
このウィルスは、まず感染したコンピュータに接続されているフラッシュメモリなどに、ウィルス本体と、それがパソコンに接続されたときに自動的に実行されるようにする設定ファイルを保存します。
そして、別のパソコンに接続された瞬間にウィルスが自動実行されて感染する、というものです。
昔から、パソコン同士のデータのやり取りにフロッピーにしろフラッシュメモリにしろなんにしろ、ディスクでやり取りするのが基本というところをうまくついた巧妙な仕組みだと思う。悪いことをしようと思えば、比較的単純な仕掛けでできるものだな、と、平和な世界の敵でありながら感心してしまう。
で、ここからはうちの経験。
2008年10月25日ごろ、自分のパソコンを持っていない部員A氏が、学内の図書館で貸し出されているパソコンを使用。ただしこの貸し出しパソコン、かなりセキュリティが甘いのでここで感染したと思われる。
部員A氏が部室内のパソコンに貸し出しパソコンで保存してきたデータを操作しようと、フラッシュメモリを接続する。
部員A氏が異変に気づく。「最近、ドライブを開こうとしても、プログラム選択のダイアログが出る」という。あっさり感染。確かに「次のファイルを開くプログラムを選択してください H;\」という、未知の拡張子のファイルを開こうとしたときに出るあのダイアログが出た。ウィルスとは思わず、何度も抜き差しして一応このダイアログは出なくなったので一安心してしまう。
・・・
爆発的増殖
・・・
うちのパソコンでも、部員Uの自宅のデスクトップでも同様、ドライブを開こうとするとプログラム選択ダイアログが出る。そして、うちのパソコンのノートン先生が突然f.exeというウィルスを検出したというダイアログを出した。
うちはオートプロテクトによって遮断されたものと思い、安心してしまう。
が、このころから、感染パソコンでドライブを開こうとするとなぜか新しいウィンドウで表示されるようになる。今思えば明らかにウィルスのせいだが。
そして、一応ウィルスの存在を把握したので自分のデスクトップパソコンとノートパソコン、そして部室のパソコンにノートン先生のフルスキャンをかけ、いくつか検出され削除された。削除されたからさらに安心してしまう。
が、
・・・
ここからが、世の中からいらない子扱いされているVistaが活躍した・・・。
部員Uのノートパソコン、部員M氏のノートパソコンをはじめ、部員の中に5名ほどVistaのノートパソコンユーザーがいた。
部員M氏が他サークル(S部)の文集原稿のやり取りの際に、S部の一部の部員のフラッシュメモリ内にf.exeを発見した。なぜ、Mはこれを発見できたのか…?Windows Vistaに自動実行(autorun)は通用しないため、感染しなかったようだ。さらに、感染したとしてもOSのビットレートの違いのためなのか、普通の製品版アプリケーションすら動かないことがあるくらい、実行可能形式でも動かない場合があるようで、U氏の話では「Vistaが立ち上がった後ウィルスは起動しているが、すぐにVistaにプロセスを停止させられてしまっている」とのこと。
因みに、「毎回プロセス停止のダイアログが出るから感染してからうざかった」らしい。
で、M氏は面白がってフォーマットしたフラッシュメモリをあっちこっちに挿して、どんなファイルが入り込むかを実験した。
部室のパソコンからは「f.exe」が入り込んだ。
うちのパソコンからは「hbs.exe」が入り込んだ。
そしてM氏がそれらを削除した上で、自動実行の設定ファイルautorun.infを空のファイルに振り替え、読み取り専用にしてどうなるかを実験した。
結果、あっさり上書きされ、ウィルスの自動実行に戻ってしまった。一筋縄ではいかないようだ。
因みに、自分のパソコンでf.exeを見つけてやろうとしたが、エクスプローラの挙動がおかしいことに気づく。
[フォルダオプション]>[表示]の詳細設定
「隠しファイルと隠しフォルダを表示しない」にチェックが入っている。
おかしい。うちがこのノートパソコンを入手した直後に「すべてのファイルとフォルダを表示する」にチェックをして、設定を変えたはずだ。拡張子表示なんかと一緒に変更したはずだ。
とにかく「すべてのファイルとフォルダを表示する」にチェックを入れなおし、さらに、「保護されたオペレーティングシステムファイルを表示しない」にチェックを入れる。
適用してOK
・・・!?
隠しファイルが表示されない。
設定をもう一度確認する。
設定が元に戻されている!!!
ならばもう一度、というのが常人の思考。しかし何度やっても無理。すぐに戻ってしまう。つまり事実上、まったくこれらの設定が変えられない状況。
自宅に帰って、「hbs トロイ」というようなワードで検索した。そして、やっと種類が特定できた。駆除方法も見つかった。早速そのとおりにやってみるが、削除するファイルのファイル名が異なっていた。おそらく亜種だろう。
レジストリをいじる。なるほど、ここをこういう風に書き換えると隠しファイルが表示できなくなるのか、とまたも半ば感心しつつ値を元に戻していく。
操作をミスって変なところを消してしまった!
まずい!!
が、とりあえず作業を続行し、一通りのレジストリ変更を終えてエクスプローラを起動。
隠しファイルが表示できるようになった。
「F.EXE」とか「HBS.EXE」とか、その手の名前が付いたものが大量にあるが、駆除方法で削除するよう指示されているファイルは、autorun.infとその他いくつかしか見つからない。.dllとか.comの拡張子の該当ファイルはない。とりあえず怪しいファイルを片っ端から消すか、と思いきや、消すべきはファイル名に「F.EXE」か「HBS.EXE」を含んだあからさまな物だけのようだ。
削除を終え、再起動し、隠しファイル設定が戻されていなければ成功とのこと、早速試すが、保護ファイル表示はできるがなぜか隠しファイルの表示の設定ができない。どうやらミスって消してしまったレジストリのキーと値が、ここの該当だったようだ。急いで手動でキーと値を新しく作ってごまかす。
本当はやばいだろうが、普段使う上ではたぶん大丈夫だろうと思い込んで・・・。
結果、駆除は成功、隠しファイルも表示できるようになった。
だが、どうしてもフラッシュメモリのf.exeを削除できない。プロテクトがかけられているようだ。hbs.exeは難なく削除できたのだが。
身の回りのリムーバブルディスクはVistaユーザに浄化してもらうしかなさそうだ・・・。
さて、こんな時間に書いているということは徹夜で駆除をしていたということだが、これから仮眠を取ったら部室のパソコンと、ノートMACユーザで仮想XPが冒された部員I氏の仮想XPを浄化しに、部室に行ってくるか。
ちなみに、[Shift]キーを押しながら接続すればAutoRunは実行されないが、Microsoftが配布している「TweakUI」というソフトを使えばAutoRunを無効にすることができるらしいと聞いて、さらに日本語化のツールも出回っているので、日本語化してインストール、CDとDVD以外のリムーバブルディスク系のAutoRunを無効という設定にした。
まったく、このウィルスは困ったものだ。
Comments
ウイルス感染?!
部室のパソコンからも駆除しましたが・・・
このkava.exeの派生系はウィルス対策ソフトで対応できない可能性が極めて高いらしいです。
ちなみに今日確認したところ、mxuclt.exeも発見したので削除しておきました。
フルスキャンもしてみましたが、検出はされませんでした。検出されるようなウィルスには感染していなかったようです。
あと、感染したパソコンからフラッシュメモリに自動的に作成されたファイル名から見ても、おそらくこれ以外には感染していないと思います。
とはいえ、私を含め、周りの人間がセキュリティ意識が甘すぎたのは事実、ということで部室のパソコンのautorunをすべて無効化して、更に窓の手でC:とD:とG:あたりのHDD以外を非表示にしてしまいました。
これでかなり感染は防げるのではないかと思います。
しかし、一番重要なのは普段からの意識ですね。
「自転車に2つ以上鍵をかけよう」と同じですね。もう少し部員を教育しなくては、と思います。
ちなみに今日確認したところ、mxuclt.exeも発見したので削除しておきました。
フルスキャンもしてみましたが、検出はされませんでした。検出されるようなウィルスには感染していなかったようです。
あと、感染したパソコンからフラッシュメモリに自動的に作成されたファイル名から見ても、おそらくこれ以外には感染していないと思います。
とはいえ、私を含め、周りの人間がセキュリティ意識が甘すぎたのは事実、ということで部室のパソコンのautorunをすべて無効化して、更に窓の手でC:とD:とG:あたりのHDD以外を非表示にしてしまいました。
これでかなり感染は防げるのではないかと思います。
しかし、一番重要なのは普段からの意識ですね。
「自転車に2つ以上鍵をかけよう」と同じですね。もう少し部員を教育しなくては、と思います。
補足
ちなみに、文章を読んで違和感を感じたかもしれませんが、部室にはインターネット環境がありません。
Comment Form
Trackback
[IT][セキュリティ]混沌たる何か revo.exeが蔓延している(情報元のブックマーク数)
USBメモリ経由で広がるウイルスが大流行とのこと。Trendmicroに検体を出すと対応してくれるよ! あとは、VirusTotalにアップロードして確認してみるってどうかな? 2008年10月25日ごろ、自分のパソコンを持っていない部員A氏が、学内の図書館で貸し出されているパソコンを使
| HOME |
ウイルス対策ベンダーにhbs.exeやf.exeを送付して対策してもらってください。
多分ウイルスバスターとかで、もう一度全ディスクスキャンしたほうが良いと思います。(無料版もあるので)